「時間」が勝負: ランサムウェアからの回復のプロアクティブなアプローチ

※この投稿は米国時間 2021 年 6 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

ランサムウェアの脅威は拡大、進化し続けており、規模、地理的位置、業界に関係なく世界中の組織に影響を及ぼしています。堅牢なランサムウェア回復戦略の実施など、サイバー レジリエンスに対する能動的なアプローチを取ることが、セキュリティ対策と事業継続計画の基本的な側面となってきています。

鍵となるのは事前の備えです。ランサムウェア攻撃は通常、警告なしに開始され、標的となった組織は切迫した、リスクの高い回復という課題に直面することになります。その回復の速度と有効性が、組織だけでなく、それによって生じる混乱の影響を受けるエンドユーザーにも重大な影響を及ぼす可能性があります。迅速に回復して攻撃によって生じる損害を軽減するためには、ランサムウェアから回復するプロアクティブで戦術的なアプローチを設計して実施する必要があります。つまり、ミッション クリティカルなデータアセットをキャプチャ、保護、復元する特定の手法などが必要です。

迅速に回復するには意図的でプロアクティブなアプローチが必要

ランサムウェア回復戦略を決定する際には、ランサムウェア攻撃によって突き付けられる特定の課題を考慮することが重要です。攻撃によって重要なデータにアクセスできなくなると、財務上やビジネス上の影響は致命的になりかねず、組織が効果的で迅速な回復を可能にするインフラストラクチャを明示的に構築していなければ、データへのアクセスの回復が困難になるか不可能になる場合さえあります。

今日、多くの組織は、ランサムウェアからの回復に利用できる可能性のある手段として、標準のバックアップと障害復旧（DR）の実装に依存しています。残念ながら、ランサムウェア攻撃は標準的な復旧計画を妨害するように設計されていることが多く、一般的なバックアップと DR 戦略のみに依存すると、結果的に効果がないか非効率的になる可能性があります。たとえば、ランサムウェアの侵入が数日、数週間、さらには数か月間検出されないまま攻撃がトリガーされると、保存されたバックアップにランサムウェアが伝播している可能性があります。このようなシナリオでは、組織は連続的に復元して（多くの場合、ある場所から別の場所にデータをコピーしながら）、複数のバックアップを検証し（それぞれを前の時点と対応させながら）、感染していないバックアップ コピーを特定しなければならず、回復時間が長引きます。さらに悪いことに、多くの組織では、バックアップ インフラストラクチャとデータコピーのどちらも本番環境のシステムと一緒にオンプレミスに配置しているため、脆弱性はさらに高まります。これでは本番環境のインフラストラクチャを危険にさらす同じサイバー攻撃が、同じ場所に配置されたバックアップ データに簡単にアクセスできることになります。

このような落とし穴を慎重に検討し、意図的な「ランサムウェア対策」アプローチをプロアクティブに設計することが、迅速な回復を実現するか、はるかに長い回復時間を余儀なくされるかの分かれ目になります。

クラウドに統合されたランサムウェア回復戦略を検討する

ランサムウェアからの回復特有の課題は、以下を行うプロアクティブで戦術的なアプローチを必要とします。

• キャプチャ - ミッション クリティカルなデータの、アプリケーション整合性のある特定の時点の状態の保存

• 保護 - キャプチャされたデータを安全に別の場所への隔離

• 復元 - 有効なランサムウェア前のデータ状態への迅速な回復の実現

Google Cloud は、これらの要件を満たすのに非常に適しているため、組織はランサムウェア攻撃から効率的に回復するための準備に自信を持てるようになります。

キャプチャ

Google Cloud で実行されている Actifio GO を利用することで、組織はミッション クリティカルなオンプレミス環境やアプリケーション（VMware VM や、SQL Server、MySQL、PostgreSQL、SAP HANA、Oracle などのデータベース）の不変でアプリケーション整合性のある複数の特定時点のデータ状態を効率的に保存できます。これらのデータ状態は、ユーザー定義のポリシーでの指定に従って、事前に定義されたスケジュールで定期的にキャプチャできます。その後、保存時の自動暗号化を使用して、費用対効果の高い安全な方法でクラウドの Google Cloud Storage（GCS）に保存されます。

保護

データを GCS に保持すると、安全な Google ネイティブのストレージ サービスを利用して、回復可能なデータをオンプレミス環境から物理的に分離した場所に保存することにより、リスクが低下します。

また、さらに保護を追加する手段として、Google Cloud Scheduler を利用して、クラウドベースのストレージへのオンプレミス アクセスを制限することもできます。クラウドへのアクセス権は、サービス アカウントを介して管理され、スケジュールされた各データ キャプチャの前に自動的に付与され、対応するデータ転送が正常に完了すると取り消されます。

復元

最後に、ランサムウェア攻撃から回復する際には、速度が命です。ただし、回復の前に、感染していないデータ状態を特定する必要があります。残念ながら、ランサムウェアは通常、攻撃がトリガーされる前に検出されずに潜んでいるため、最近のデータ キャプチャ中にランサムウェア ファイルがすでに存在していた可能性があります。そのため、ランサムウェアからの回復を加速するには、複数の特定時点のデータ状態に迅速にアクセスして調べる機能が不可欠です。保存されたデータを新しい保存場所にコピーしてから、アクセスして評価する必要がある場合（マルウェア スキャンツールを利用する場合など）、感染していないデータ状態を特定するプロセスが延々と続き、運用ダウンタイムが長くなる可能性があります。

Actifio GO は Google Cloud 上でのランサムウェアからの回復をサポートしているため、複数の特定時点のデータ状態に同時に瞬時にアクセスできます（つまり、時間のかかる、別の保存場所へのコピー作業は不要です）。この機能により、セキュリティ担当者は、保存されている復元候補を迅速に検査して拒否または承認し、目的の復元ポイントの特定を加速して、全体的な運用ダウンタイムを最小限に抑えることができます。最後に、Actifio GO は復元場所に関する柔軟性も備えています。データは、元の本番環境に直接復元することも、元の本番環境を模した、Google Cloud で実行している別のインフラストラクチャに復元することもできます（さらにテストする場合など）。

今すぐ計画を開始しましょう

ランサムウェア攻撃が加速する中、今こそ回復対策の評価と改善を始めるときです。プロアクティブなアプローチを取ることが大きな違いを生み、それには Google Cloud が役立ちます。詳しくお知りになりたいお客様は、ぜひ 7 月 20 日に開催される Google Cloud Security Summit に登録してご参加ください。また、政府向けにカスタマイズしたセキュリティ サービスに関心をお持ちのお客様は、同日に開催される Government Security Summit に登録してご参加ください。

Actifio GO は今すぐ Google Cloud Marketplace で利用できます。Actifio GO の詳細については、Google Cloud 営業担当者にお問い合わせください。